Seit Mai 2023 warnt Microsoft vor dem BlackLotus UEFI-Bootkit als Sicherheitslücke. Dadurch ist es möglich, unter Verwendung des BlackLotus UEFI-Bootkits die Secure-Boot Funktion aushebeln. Erste Gegenmaßnahmen wurden schon getroffen. Vollständig umgesetzt werden sie nicht vor Januar 2026.
Das liegt daran, dass das Microsoft Windows Production PCA 2011 Zertifikat, welches derzeit genutzt wird, aufgehoben und durch das Windows UEFI CA 2023-Zertifikat ersetzt wird. Ältere Installationsmedien, oder auch Bootmedien mit dem alten Zertifikat können dann nicht mehr gebootet werden.
Inzwischen hat Microsoft schon ein PowerShell Skript (Make2023BootableMedia.ps1) bereitgestellt, um ISOs mit dem neuen Zertifikat auszustatten. Für Unternehmen geht man jetzt einen anderen Weg.
„Um Unterbrechungen zu vermeiden, plant Microsoft nicht, diese Abschwächungen in Unternehmen bereitzustellen, sondern stellt diese Anleitung bereit, damit Unternehmen die Abschwächungen selbst anwenden können. Dadurch erhalten Unternehmen die Kontrolle über den Bereitstellungsplan und den Zeitpunkt der Bereitstellung.“
Administratoren in Firmen sollen also immer ein Gerät als Test nutzen, ob es Probleme gibt, bevor das neue Zertifikat angewendet wird. „Da es zahlreiche Kombinationen von Gerätehardware und -firmware gibt und Microsoft nicht in der Lage ist, alle Kombinationen zu testen, empfehlen wir Ihnen, repräsentative Geräte in Ihrer Umgebung zu testen, bevor Sie sie auf breiter Basis bereitstellen. Wir empfehlen, dass Sie mindestens ein Gerät jedes Typs testen, der in Ihrem Unternehmen verwendet wird.“
Im Dokument wurden auch einige bekannte Geräteprobleme dokumentiert. Interessant ist an diesem Beitrag von Microsoft: Das Microsoft Windows Production PCA 2011 Zertifikat läuft endgültig im Oktober 2026 ab. Ab diesem Zeitpunkt sind dann alte Medien nicht mehr nutzbar. Das neue Windows UEFI CA 2023-Zertifikat ist dann bis 2038 gültig.
Wie gesagt, diese Anleitung ist nur für die Enterpriseversionen in Unternehmen zuständig. Wir „normalen“ Nutzer können vorab das PowerShell-Skript nutzen. Alles Weitere wird dann automatisch über ein Update ablaufen, indem das alte Zertifikat gesperrt wird.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Kann ich euch dazu noch um etwas mehr Infos bitten in wie weit User Mit Win10 Home betroffen sind? Wird das BS Update seitig gepachtet dass auch selbst erstellte Boot Sticks wie z.b. vom Hasleo Backup entsprechend gepatcht sind? Oder sollte man da lieber die Source aus dem Netz nutzen? Auch wenn mein Noti nämlich kein TPM hat nutzt es ja trotzdem Secur Boot und ich verlasse mich eigentlich darauf dass MS hier mitdenkt und ich nicht irgendwann ein zerrunkstes System habe
Das Ganze wird vor Januar 2026 keine Änderungen haben. Das System selber wird upgedatet. Microsoft wird bis dahin auch die richtigen ISOs bereitstellen.
Hasleo und alle anderen Firmen müssen das dann selbst aktualisieren. Bzw. du deine alten ISOs. Aber noch ist Zeit.
@moinmoin
Ist bei Euren ISO’s W11-24H2 v26100.3xxx das neue „Windows UEFI CA 2023-Zertifikat“ auch schon mit enthalten?
Denn das ISO von MS selbst, vom Oktober mit xxx.1742 scheint es ja nicht drin gehabt zu haben, wenn ich das richtig verstanden haben sollte.
Ich mache mir ja regelmäßig nen‘ Fallback USB-Stick von Euch, in dem Sinne auch wieder DANKE an Birkuli und dem gesamten Deskmodder Team!
Nein, noch nicht. Da es derzeit noch nicht unbedingt notwendig ist.
Die Voraussetzungen dafür sind aber schon gegeben.
Danke. Und jetzt im vorraus schonmal, schönes WE!
Die 24H2 Urversion 26100.1 enthält die „Windows UEFI CA 2023-Zertifikat“ Dateien zusätzlich, sind nicht beim booten aktiv.
26100.1.Germanium-X64-DE-CLIENTPRO.ISO\sources\boot.wim\2\Windows\Boot\
.\DVD_EX\EFI\en-US\efisys_EX.bin
.\EFI_EX\bootmgfw_EX.efi
Falls KB5025885 SVN-Nummer (Versionsprüfung) aktiviert wird, wird es noch spannender.
z.B.
26100.1 SVN 1.1
26100.1742 SVN 3.1
27774 SVN 5.1
Ein weiterer Ansatz: bereite einen zweiten Fallback USB-Stick mit CA 2023 Bootdateien vor.
Irgendwann wird der CA 2023 USB-Stick interessant.
Als Basis kann die jeweilige akutelle Checkpoint Version, mit monatlichen Updates aktualisierte Version, eine ValidOS oder einer Insider Version sein.
Ich habe die Aomei Backupper Software auf einem USB-Stick installiert. Muss ich die dann auch neu installieren wegen dem Zertifikat?